Configuration Manager 대한 역할 기반 관리 구성
적용 대상: Configuration Manager(현재 분기)
Configuration Manager 역할 기반 관리는 보안 역할, 보안 범위 및 할당된 컬렉션을 결합하여 각 관리 사용자의 관리 범위를 정의합니다. 관리 범위에는 관리 사용자가 Configuration Manager 콘솔에서 볼 수 있는 개체와 권한이 있는 개체와 관련된 작업이 포함됩니다.
이러한 개념에 아직 익숙하지 않은 경우 역할 기반 관리의 기본 사항을 참조하세요.
이 문서의 정보를 사용하여 역할 기반 관리 및 관련 보안 설정을 만들고 구성합니다.
참고
이 문서의 절차에서는 관리 사용자가 필요한 권한이 있는 보안 역할에 있다고 가정합니다. 예를 들어 전체 관리자 또는 보안 관리자 역할입니다.
팁
역할 기반 관리 및 감사 도구를 사용하여 다음 작업을 지원합니다.
- 만들려는 새 역할에 대한 모델 권한입니다.
- 모든 기존 관리 사용자, 컬렉션 및 보안 범위를 감사합니다.
- 특정 사용자 감사
사용자 지정 보안 역할 만들기
Configuration Manager 몇 가지 기본 제공 보안 역할을 제공합니다. 기본 제공 역할의 권한은 변경할 수 없습니다. 다른 역할이 필요한 경우 사용자 지정 역할을 만듭니다. 관리자에게 기본 제공 역할에 포함되지 않고 필요한 다른 권한을 부여하는 사용자 지정 역할을 만들 수 있습니다. 사용자 지정 보안 역할을 사용하여 필요한 최소 권한을 할당할 수 있습니다. 사용자 지정 역할은 필요한 것보다 더 많은 권한을 부여하는 보안 역할을 할당하지 않도록 하는 데 도움이 될 수 있습니다.
사용자 지정 보안 역할을 만드는 방법
Configuration Manager 콘솔에서 관리 작업 영역으로 이동합니다. 보안을 확장한 다음 보안 역할 노드를 선택합니다. 그런 다음, 다음 프로세스 중 하나를 사용하여 새 보안 역할을 만듭니다.
기본 제공 역할을 복사하여 새 사용자 지정 보안 역할 만들기
새 역할의 원본으로 사용할 기존 보안 역할을 선택합니다.
리본의 홈 탭에 있는 보안 역할 그룹에서 복사를 선택합니다. 이 작업은 원본 보안 역할의 복사본을 만듭니다.
보안 역할 복사 마법사에서 새 사용자 지정 보안 역할의 이름을 지정합니다. 최대 길이는 256자입니다.
선택 사항이지만 권장되는 설명 을 지정 하여 이 사용자 지정 보안 역할의 목적을 요약합니다. 최대 길이는 512자입니다.
사용 권한에서 각 개체 유형을 확장하여 사용 가능한 권한을 표시합니다.
사용 권한을 변경하려면 드롭다운 목록을 선택하고 예 또는 아니요를 선택합니다.
주의
사용자 지정 보안 역할을 구성하는 경우 이 역할에 할당된 사용자에게 필요한 권한만 부여합니다. 예를 들어 보안 역할 개체에 대한 수정 권한을 사용하면 할당된 사용자가 해당 보안 역할에 할당되지 않은 경우에도 액세스 가능한 보안 역할을 편집할 수 있습니다.
사용 권한을 구성한 후 확인을 선택하여 새 보안 역할을 저장합니다.
다른 Configuration Manager 계층 구조에서 내보낸 보안 역할 가져오기
중요
신뢰할 수 있는 원본에서 사용자 지정 보안 역할 구성 파일만 가져옵니다. 사용자 지정 보안 역할을 내보낼 때 보안 위치에 저장합니다. XML 파일은 디지털 서명되지 않았습니다.
리본의 홈 탭에 있는 만들기 그룹에서 보안 역할 가져오기를 선택합니다.
내보낸 보안 역할 구성이 포함된 XML 파일을 지정합니다. 열기를 선택하여 절차를 완료하고 보안 역할을 만듭니다.
사용자 지정 보안 역할을 가져온 후 해당 속성을 엽니다. 사용 권한을 확인하여 이 역할에 필요한 최소 사용 권한이 포함되어 있는지 확인합니다. 이 환경에서 필요하지 않은 사용 권한을 변경합니다.
참고
기본 제공 보안 역할은 내보낼 수 없습니다.
보안 역할 구성
사용자 지정 보안 역할에 대한 권한을 수정할 수 있지만 기본 제공 보안 역할은 수정할 수 없습니다.
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 보안을 확장한 다음 보안 역할 노드를 선택합니다.
수정하거나 보려는 사용자 지정 보안 역할을 선택합니다.
리본의 홈 탭에 있는 속성 그룹에서 속성을 선택합니다.
속성 창의 일반 탭에서 필요한 경우 이름 또는 설명을 변경합니다 .
관리 사용자 탭에서 이 역할과 연결된 사용자를 봅니다. 할당을 변경하려면 관리 사용자의 속성으로 이동합니다.
사용 권한 탭에서 각 개체 유형을 확장하여 사용 가능한 권한을 표시합니다.
사용 권한을 변경하려면 드롭다운 목록을 선택한 다음 예 또는 아니요를 선택합니다.
주의
사용자 지정 보안 역할을 구성하는 경우 이 역할에 할당된 사용자에게 필요한 권한만 부여합니다. 예를 들어 보안 역할 개체에 대한 수정 권한을 사용하면 할당된 사용자가 해당 보안 역할에 할당되지 않은 경우에도 액세스 가능한 보안 역할을 편집할 수 있습니다.
완료되면 확인을 선택하여 사용자 지정 보안 역할을 저장합니다.
개체에 대한 보안 범위 구성
보안 범위가 아닌 보안 개체에서 보안 범위를 관리합니다. 사용자 지정 보안 범위에서 변경할 수 있는 유일한 속성은 이름 및 설명입니다. 두 가지 기본 제공 범위를 수정할 수 없습니다. 사용자 지정 범위의 이름과 설명을 변경하려면 보안 범위 개체에 대한 수정 권한이 필요합니다.
Configuration Manager 새 개체를 만들 때 개체를 만드는 데 사용되는 계정의 보안 역할과 연결된 각 보안 범위와 연결됩니다. 이 동작은 이러한 보안 역할이 만들기 권한 또는 보안 범위 설정 권한을 제공할 때 발생합니다. 개체를 만든 후 보안 범위를 변경하고 여러 범위에 할당할 수 있습니다.
예를 들어 새 경계 그룹을 만들 수 있는 권한을 부여하는 보안 역할이 할당됩니다. 해당 역할은 관리자 보안 범위와 연결 됩니다 . 새 경계 그룹을 만들 때 특정 보안 범위를 할당할 수 있는 옵션이 없습니다. 관리자 보안 범위는 새 경계 그룹에 자동으로 할당됩니다. 새 경계 그룹을 저장한 후 경계 그룹의 보안 범위를 편집할 수 있습니다.
사용자에 대한 범위를 추가하는 방법에 대한 자세한 내용은 관리 사용자의 관리 범위 수정을 참조하세요.
사용자 지정 보안 범위를 만드는 방법
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 보안을 확장한 다음 보안 범위 노드를 선택합니다.
리본의 홈 탭에 있는 만들기 그룹에서 보안 범위 만들기를 선택합니다.
보안 범위 만들기 창에서 보안 범위 이름을 지정합니다. 최대 길이는 256자입니다.
선택 사항이지만 권장되는 설명 을 지정 하여 이 사용자 지정 보안 범위의 용도를 요약합니다. 최대 길이는 512자입니다.
관리 사용자 할당을 선택하거나 제거합니다. 보안 범위를 만든 후 변경할 수 있습니다.
사용자 지정 보안 범위를 저장하려면 확인을 선택합니다.
개체에 대한 보안 범위를 구성하는 방법
Configuration Manager 콘솔에서 보안 범위에 할당되는 것을 지원하는 개체를 선택합니다. 지원되는 개체 목록은 역할 기반 관리의 기본 사항 - 보안 범위를 참조하세요.
리본의 홈 탭에 있는 분류 그룹에서 보안 범위 설정을 선택합니다.
폴더의 경우 리본 메뉴의 폴더 탭으로 이동합니다. 작업 그룹에서 보안 범위 설정을 선택합니다.
참고
해당 사용자가 개체를 만든 사람과 보안 범위를 공유하는 경우 사용자의 보안 범위 외부 폴더에서 항목을 검색할 수 있습니다.
보안 범위 설정 창에서 이 개체의 보안 범위를 선택하거나 지웁니다. 보안 범위를 하나 이상 선택합니다.
확인을 선택하여 할당된 보안 범위를 저장합니다.
보안을 관리하도록 컬렉션 구성
역할 기반 관리에 대한 컬렉션을 구성하는 절차는 없습니다. 컬렉션에는 역할 기반 관리 구성이 없습니다. 대신 관리 사용자에게 컬렉션을 할당합니다. 관리 사용자가 컬렉션 및 해당 멤버에 대해 수행할 수 있는 작업을 확인하려면 보안 역할에 대한 Collection 개체 형식에 대한 권한을 확인합니다.
관리 사용자에게 컬렉션에 대한 권한이 있는 경우 해당 컬렉션으로 제한되는 컬렉션에 대한 권한도 있습니다. 예를 들어 조직에서는 모든 데스크톱이라는 컬렉션을 사용합니다. All desktops 컬렉션으로 제한되는 모든 북아메리카 Desktops라는 컬렉션도 있습니다. 관리자에게 모든 데스크톱에 대한 권한이 있는 경우 모든 북아메리카 Desktops 컬렉션에 대해 동일한 권한이 있습니다.
관리 사용자는 직접 할당된 컬렉션에 대해 삭제 또는 수정 권한을 사용할 수 없습니다. 해당 컬렉션으로 제한되는 컬렉션에 대해 이러한 권한을 사용할 수 있습니다. 이전 예제에서 관리자는 All 북아메리카 Desktops 컬렉션을 삭제하거나 수정할 수 있지만 모든 데스크톱 컬렉션을 삭제하거나 수정할 수는 없습니다.
새 관리 사용자 만들기
보안 그룹의 개인 또는 구성원에게 Configuration Manager 관리할 수 있는 액세스 권한을 부여하려면 관리 사용자를 만듭니다. 사용자 또는 사용자 그룹의 Windows 계정을 지정합니다. 각 관리 사용자를 하나 이상의 보안 역할과 하나의 보안 범위에 할당합니다. 컬렉션을 할당하여 사용자 또는 그룹의 관리 범위를 제한할 수도 있습니다.
새 관리 사용자를 만드는 방법
Configuration Manager 콘솔에서 관리 작업 영역으로 이동하여 보안을 확장한 다음 관리 사용자 노드를 선택합니다.
리본의 홈 탭에 있는 만들기 그룹에서 사용자 또는 그룹 추가를 선택합니다.
찾아보기를 선택한 다음, Configuration Manager 이 새 관리 사용자에 사용할 사용자 계정 또는 그룹을 선택합니다.
참고
콘솔 기반 관리의 경우 도메인 사용자 또는 도메인 보안 그룹만 관리 사용자로 지정할 수 있습니다.
연결된 보안 역할에 대해 추가를 선택하여 사용 가능한 보안 역할 목록을 엽니다. 하나 이상의 보안 역할을 선택한 다음 확인을 선택합니다.
다음 옵션 중 하나를 선택하여 새 사용자의 보안 개체 동작을 정의합니다.
할당된 보안 역할과 관련된 개체의 모든 인스턴스: 이 옵션에는 다음과 같은 동작이 있습니다.
- 보안 범위: 모두
- 컬렉션: 모든 시스템 및 모든 사용자 및 사용자 그룹
- 사용자에게 할당하는 보안 역할은 개체에 대한 액세스를 정의합니다.
- 이 사용자가 만드는 새 개체는 기본 보안 범위에 할당됩니다.
지정된 보안 범위 및 컬렉션에 할당된 개체의 인스턴스만: 이 옵션에는 다음과 같은 동작이 있습니다.
- 보안 범위: 기본값
- 컬렉션: 모든 시스템 및 모든 사용자 및 사용자 그룹
- 실제 보안 범위 및 컬렉션은 관리 사용자를 만드는 데 사용하는 계정과 연결된 것으로 제한되므로 이러한 기본값은 다를 수 있습니다.
- 보안 범위 및 컬렉션을 추가하거나 제거하여 이 사용자의 관리 범위를 사용자 지정합니다.
중요
사용자를 만든 후 해당 속성을 보고 세 번째 옵션인 할당된 보안 역할을 특정 보안 범위 및 컬렉션과 연결합니다. 자세한 내용은 관리 사용자의 관리 범위 수정을 참조하세요.
확인을 선택하여 창을 닫고 관리 사용자를 만듭니다.
관리 사용자의 관리 범위 수정
사용자와 연결된 보안 역할, 보안 범위 및 컬렉션을 추가하거나 제거하여 관리 사용자의 관리 범위를 수정할 수 있습니다. 각 관리 사용자는 하나 이상의 보안 역할과 하나의 보안 범위와 연결되어야 합니다. 사용자의 관리 범위에 하나 이상의 컬렉션을 할당해야 할 수 있습니다. 대부분의 보안 역할은 컬렉션과 상호 작용하며 할당된 컬렉션 없이는 제대로 작동하지 않습니다.
관리 사용자를 수정할 때 보안 개체가 할당된 보안 역할과 연결되는 방식에 대한 동작을 변경할 수 있습니다. 선택할 수 있는 세 가지 동작은 다음과 같습니다.
할당된 보안 역할과 관련된 개체의 모든 인스턴스: 이 옵션은 관리 사용자를 모든 범위 및 모든 시스템 및 모든 사용자 및 사용자 그룹 컬렉션과 연결합니다. 사용자에게 할당된 보안 역할은 개체에 대한 액세스를 정의합니다.
지정된 보안 범위 및 컬렉션에 할당된 개체 인스턴스만: 이 옵션은 관리 사용자를 구성하는 데 사용하는 계정에 연결된 동일한 보안 범위 및 컬렉션에 관리 사용자를 연결합니다. 이 옵션은 관리 사용자의 관리 범위를 사용자 지정하기 위한 보안 역할 및 컬렉션의 추가 또는 제거를 지원합니다.
할당된 보안 역할을 특정 보안 범위 및 컬렉션과 연결: 이 옵션을 사용하면 개별 보안 역할과 사용자에 대한 특정 보안 범위 및 컬렉션 간에 특정 연결을 만들 수 있습니다.
참고
이 옵션은 관리 사용자의 속성을 수정하는 경우에만 사용할 수 있습니다.
보안 개체 동작에 대한 현재 구성은 추가 보안 역할을 할당하는 데 사용하는 프로세스를 변경합니다. 관리 사용자를 관리하는 데 도움이 되도록 보안 개체에 대한 다양한 옵션을 기반으로 하는 다음 절차를 사용합니다.
다음 절차를 사용하여 관리 사용자에 대한 보안 개체에 대한 구성을 보고 관리합니다.
관리 사용자의 보안 개체 동작을 보고 관리하려면
- Configuration Manager 콘솔에서 관리를 선택합니다.
- 관리 작업 영역에서 보안을 확장한 다음 관리 사용자를 선택합니다.
- 수정하려는 관리 사용자를 선택합니다.
- 홈 탭의 속성 그룹에서 속성을 선택합니다.
- 보안 범위 탭을 선택하여 이 관리 사용자의 보안 개체에 대한 현재 구성을 확인합니다.
- 보안 개체 동작을 수정하려면 보안 개체 동작에 대한 새 옵션을 선택합니다. 이 구성을 변경한 후 이 관리 사용자에 대한 보안 범위 및 컬렉션 및 보안 역할을 구성하는 추가 지침은 적절한 절차를 참조하세요.
- 확인을 선택하여 절차를 완료합니다.
다음 절차를 사용하여 보안 개체 동작이 할당된 보안 역할과 관련된 개체의 All 인스턴스로 설정된 관리 사용자를 수정합니다.
옵션: 할당된 보안 역할과 관련된 개체의 모든 인스턴스
Configuration Manager 콘솔에서 관리를 선택합니다.
관리 작업 영역에서 보안을 확장한 다음 관리 사용자를 선택합니다.
수정하려는 관리 사용자를 선택합니다.
홈 탭의 속성 그룹에서 속성을 선택합니다.
보안 범위 탭을 선택하여 관리 사용자가 할당된 보안 역할과 관련된 개체의 모든 인스턴스에 대해 구성되어 있는지 확인합니다.
할당된 보안 역할을 수정하려면 보안 역할 탭을 선택합니다.
- 이 관리 사용자에게 추가 보안 역할을 할당하려면 추가를 선택하고 할당할 각 추가 보안 역할에 대한 확인란을 선택한 다음 확인을 선택합니다.
- 보안 역할을 제거하려면 목록에서 하나 이상의 보안 역할을 선택한 다음 제거를 선택합니다.
보안 개체 동작을 수정하려면 보안 범위 탭을 선택하고 보안 개체 동작에 대한 새 옵션을 선택합니다. 이 구성을 변경한 후 이 관리 사용자에 대한 보안 범위 및 컬렉션 및 보안 역할을 구성하는 추가 지침은 적절한 절차를 참조하세요.
참고
보안 개체 동작이 할당된 보안 역할과 관련된 개체의 모든 인스턴스로 설정된 경우 특정 보안 범위 및 컬렉션을 추가하거나 제거할 수 없습니다.
확인을 선택하여 이 절차를 완료합니다.
다음 절차를 사용하여 보안 개체 동작이 지정된 보안 범위 및 컬렉션에 할당된 개체 인스턴스만으로 설정된 관리 사용자를 수정합니다.
옵션: 지정된 보안 범위 및 컬렉션에 할당된 개체의 인스턴스만
Configuration Manager 콘솔에서 관리를 선택합니다.
관리 작업 영역에서 보안을 확장한 다음 관리 사용자를 선택합니다.
수정하려는 관리 사용자를 선택합니다.
홈 탭의 속성 그룹에서 속성을 선택합니다.
보안 범위 탭을 선택하여 사용자가 지정된 보안 범위 및 컬렉션에 할당된 개체 인스턴스에만 구성되어 있는지 확인합니다.
할당된 보안 역할을 수정하려면 보안 역할 탭을 선택합니다.
- 이 사용자에게 추가 보안 역할을 할당하려면 추가를 선택하고 할당할 각 추가 보안 역할에 대한 확인란을 선택한 다음 확인을 선택합니다.
- 보안 역할을 제거하려면 목록에서 하나 이상의 보안 역할을 선택한 다음 제거를 선택합니다.
보안 역할과 연결된 보안 범위 및 컬렉션을 수정하려면 보안 범위 탭을 선택합니다.
- 새 보안 범위 또는 컬렉션을 이 관리 사용자에게 할당된 모든 보안 역할과 연결하려면 추가 를 선택하고 네 가지 옵션 중 하나를 선택합니다. 보안 범위 또는 컬렉션을 선택하는 경우 하나 이상의 개체에 대한 확인란을 선택하여 해당 선택을 완료한 다음 확인을 선택합니다.
- 보안 범위 또는 컬렉션을 제거하려면 개체를 선택한 다음 제거를 선택합니다.
확인을 선택하여 이 절차를 완료합니다.
다음 절차를 사용하여 보안 개체 동작이 특정 보안 범위 및 컬렉션과 할당된 보안 역할 연결로 설정된 관리 사용자를 수정합니다.
옵션: 할당된 보안 역할을 특정 보안 범위 및 컬렉션과 연결
Configuration Manager 콘솔에서 관리를 선택합니다.
관리 작업 영역에서 보안을 확장한 다음 관리 사용자를 선택합니다.
수정하려는 관리 사용자를 선택합니다.
홈 탭의 속성 그룹에서 속성을 선택합니다.
보안 범위 탭을 선택하여 관리 사용자가 할당된 보안 역할을 특정 보안 범위 및 컬렉션과 연결하도록 구성되어 있는지 확인합니다.
할당된 보안 역할을 수정하려면 보안 역할 탭을 선택합니다.
이 관리 사용자에게 추가 보안 역할을 할당하려면 추가를 선택합니다. 보안 역할 추가 대화 상자에서 사용 가능한 보안 역할을 하나 이상 선택하고 추가를 선택한 다음 선택한 보안 역할과 연결할 개체 유형을 선택합니다. 보안 범위 또는 컬렉션을 선택하는 경우 하나 이상의 개체에 대한 확인란을 선택하여 해당 선택을 완료한 다음 확인을 선택합니다.
참고
선택한 보안 역할을 관리 사용자에게 할당하려면 먼저 보안 범위를 하나 이상 구성해야 합니다. 여러 보안 역할을 선택하면 구성한 각 보안 범위 및 컬렉션이 선택한 각 보안 역할과 연결됩니다.
보안 역할을 제거하려면 목록에서 하나 이상의 보안 역할을 선택한 다음 제거를 선택합니다.
특정 보안 역할과 연결된 보안 범위 및 컬렉션을 수정하려면 보안 범위 탭을 선택하고 보안 역할을 선택한 다음 편집을 선택합니다.
새 개체를 이 보안 역할과 연결하려면 추가를 선택하고 선택한 보안 역할과 연결할 개체 유형을 선택합니다. 보안 범위 또는 컬렉션을 선택하는 경우 하나 이상의 개체에 대한 확인란을 선택하여 해당 선택을 완료한 다음 확인을 선택합니다.
참고
보안 범위를 하나 이상 구성해야 합니다.
이 보안 역할과 연결된 보안 범위 또는 컬렉션을 제거하려면 개체를 선택한 다음 제거를 선택합니다.
연결된 개체 수정을 마쳤으면 확인을 선택합니다.
확인을 선택하여 이 절차를 완료합니다.
주의
보안 역할이 관리 사용자에게 컬렉션 배포 권한을 부여하면 해당 보안 범위가 다른 보안 역할과 연결되어 있더라도 해당 관리 사용자는 개체 읽기 권한이 있는 모든 보안 범위에서 개체를 배포할 수 있습니다.
Windows PowerShell 사용하여 자동화
다음 PowerShell cmdlet을 사용하여 이러한 작업 중 일부를 자동화할 수 있습니다.
관리 사용자 관리:
- Get-CMAdministrativeUser: 관리 사용자 개체를 가져옵니다.
- New-CMAdministrativeUser: 새 관리 사용자를 만듭니다.
- New-CMAdministrativeUserPermission: {{ Synopsis }} 채우기
- Remove-CMAdministrativeUser: 관리 사용자를 제거합니다.
사용자에 대한 역할 및 범위 관리:
- Add-CMSecurityRoleToAdministrativeUser: 사용자 또는 그룹에 보안 역할을 추가합니다.
- Remove-CMSecurityRoleFromAdministrativeUser: 보안 역할과 관리 사용자 간의 연결을 제거합니다.
- Add-CMSecurityScopeToAdministrativeUser: 사용자 또는 그룹에 보안 범위를 추가합니다.
- Remove-CMSecurityScopeFromAdministrativeUser: 보안 범위와 관리 사용자 간의 연결을 제거합니다.
보안 역할 관리:
- Copy-CMSecurityRole: 사용자 지정 보안 역할을 만듭니다.
- Export-CMSecurityRole: 보안 역할을 XML 파일로 내보냅니다.
- Get-CMSecurityRole: 보안 역할을 가져옵니다.
- Import-CMSecurityRole: XML 파일에서 보안 역할을 가져옵니다.
- Remove-CMSecurityRole: 사용자 지정 보안 역할을 제거합니다.
- Set-CMSecurityRole: 보안 역할의 구성 설정을 변경합니다.
보안 역할에 대한 권한 관리:
- Get-CMSecurityRolePermission: 보안 역할에 대한 권한을 가져옵니다.
- Set-CMSecurityRolePermission: 특정 권한이 있는 보안 역할을 구성합니다.
보안 범위 관리:
- Get-CMSecurityScope: 보안 범위를 가져옵니다.
- New-CMSecurityScope: 보안 범위를 만듭니다.
- Remove-CMSecurityScope: 보안 범위를 제거합니다.
- Set-CMSecurityScope: 보안 범위를 구성합니다.
개체 보안 범위 관리:
- Add-CMObjectSecurityScope: 개체에 보안 범위를 추가합니다.
- Get-CMObjectSecurityScope: Configuration Manager 개체의 보안 범위를 가져옵니다.
- Remove-CMObjectSecurityScope: Configuration Manager 개체에서 보안 범위를 제거합니다.